Hat sich hier einer einen Trojaner eingefangen?

Hallo!

Ich habe es leider erst vorgestern gesehen und bin derzeit dabei, über die Ursprungs-IPs (also über den Provider) in alten Mails den "Schuldigen" einzukreisen.



Am 30. Januar und am 1. Februar sind auf einem e-Mail-Account von mir zwei Mails eingetroffen. Beide Mails stammen aus dem IP-Bereich von Arcor. Wer also DSL bei Arcor (oder Reseller - das ist kompliziert) bestellt hat, unter Windows arbeitet und eine e-Mail Adresse von mir kennt, sollte dringend weiterlesen...

Bei der Einwahl ins Internet bekommt man von seinem Provider (Telekom, Arcor...) eigentlich immer eine IP aus dem "Pool" des Anbieters dynamisch zugewiesen. Die eigene IP ist nicht immer gleich, stammt aber oft aus einem relativ kleinen Teilbereich aus dem großen Pool des Providers. Je mehr Ziffern von linkks nach rechts übereinstimmen, um so näher sind wir dran...

Hier sind die Lottozahlen - ähm - die beiden IPs:
84.56.190.183
188.105.117.189

Wem jetzt etwas mulmig wird, der kann ja mal gucken, ob seine aktuelle IP ungefähr "in der Nähe" liegt. Das geht ganz einfach dort:

http://www.wieistmeineip.de/



Beide Mails wurden über WEB.de verschickt und gelangten ohne weitere Zwischenstationen direkt auf meinen Posteingangs-Server. Du hast (u.a. auch) einen Mail-Account bei WEB.de? Weiterlesen...


Eine der Mails enthielt im Anhang einen Trojaner. In eine dieser Mail schauen wir jetzt mal rein. Bei der anderen Mail handelt es sich auch auch um eine "Mahnung", an dieser Mail war aber "nichts" dran. Meinen echten bürgerlichen Namen habe ich hier im Zitat durch "realZwerg" ersetzt.

Man muß kein großer Kenner der Materie zu sein, um zu erkennen, daß an dieser "Mahnung" einiges faul ist. Grundsätzlich fehlt erstmal das vorgeschriebene Impressum bei geschäftichen Mails. Sowas macht man normalerweise mit einem "Footer". Dann tauchen auch gleich noch drei verschiedene Rechnungs/Bestellnummern auf und im Text wechselt man auch noch die Schreibweise der deutschen Umlaute. Sehr verdächtig.

"Im beigefügtem Dokument " (eine zip-Datei), findet sich nach dem Entpacken ein Trojaner. Siehe dazu das Bildchen unten. Hinweis: Ich habe die originale Dateieindung "COM" (ausführbares Programm) auf die "CDOM" geändert (womit Windows erstmal nichts anfangen kann), damit ich bei meinen Versuchen mit deaktivierten Virenscanner und einem versehentlichen "Doppelklick" mit der Maus keinen Schaden anrichten kann. Das hätte fatale Folgen...


Das war die Einstimmung auf das Thema.


Die wichtigste Frage muß aber noch gestellt und beantwortet werden: Wie kommt mein "richtiger Name" in das "Mahnschreiben" rein?


Dafür gibt es nur zwei Möglichkeiten:

1.) "Jemand" kennt alle Kontaktdaten von mir und trägt sie händisch in sein "Adressbuch" ein.
2.) Ich habe "Jemanden" irgendwann einmal eine e-Mail über diesen Account geschrieben und meine Mail und Daten landeten damit im "Posteingang" des e-Mail-Client des Empfängers. Dann hatten wir Mitte 2009 noch den Fall, daß meine e-Mail Adresse (samt Klarname) versehentlich im CC eines "Rundschreibens" gelandet ist.


Ich tendiere natürlich zu Punkt 2. Im Klartext bedeutet das, daß mindestens neun Forenuser diese e-Mail Adresse von mir kennen. Das sind praktisch 75% aller e-Mail Adressen, die seit 2009 überhaupt im Posteingang/Ausgang dieses Mailaccounts eingetrudelt sind.


Also bitte mal abchecken, ob ihr als "Virenschleuder" in Frage kommt.


Letzter Anhaltspunkt wäre noch das Mailprogramm, über das die beiden Mails verschickt wurden. Diese Angabe kann aber vom Trojaner selbst gefaked werden. Insofern ist das nicht so wichtig:

Microsoft Outlook Express 6.00.2800.1106




Grüßle

 

Vielleicht ist das die Strafe, wenn man bei C&A seine Rechnungen nicht bezahlt!

 

Erst bei C&A für knapp 600 € einkaufen und es dann dem Forenzwergi unterjubeln? Das geht wirklich zu weit.

 

Du solltest erstmal die andere "Mahnung" (ohne Trojaner im Anhang) sehen! Da habe ich angeblich bei hse24.de gleich mal für 822,60 Euro "zugeschlagen"...

Jetzt bitte keine Scherze mit "Antifaltencremes" oder so...



BTW: Ich habe einen Verdacht, der mich ganz in den Norden der Republik führt. Kann das bitte mal jemand anhand der genannten IPs und Tracert oder traceroute irgendwie bestätigen? Ich habe hier 11 Hops. Wer im Norden wohnt, sollte evt weniger haben.

 

Gemüseraspeln für über 800 €?! Dir ist echt nicht mehr zu helfen!

 

Etwas ganz ähnliches hatte ich heute auch im Spamordner, bei GMX. Anhänge von fremden Absendern öffne ich eh nicht, habe nur den Text gelesen, aber er kommt deinem und den hier geschilderten Fällen sehr nahe.

 

Dann passt folgende Meldung vermutlich dazu:

Osnabrücker Polizei warnt vor Internetbetrügern: Fingierte Rechnung löst Trojaner aus

 

Ich wiederhole die Ergänzung von oben nochmal:

Ich habe einen Verdacht, der mich ganz in den Norden der Republik führt. Kann das bitte mal jemand anhand der genannten IPs und Tracert oder traceroute irgendwie bestätigen? Ich habe hier 11 Hops. Wer im Norden wohnt, sollte evt weniger haben.

 

Eine ähnliche mail hatte ich ebenfalls via United Internet. Ich weiss, dass in asiatischen Staaten ganze Horden damit beschäftigt sind, Adressen abzutippen. Das können kopierte Daten von gewerblichen Adresshändlern sein (die kriegen sie von Versandhäusern) oder "erhackte" von Portalen. Eine IP kann dann auch parasitär benutzt worden sein (quasi mit Transfer-Trojaner).

 

Wie willst du anhand der IP "irgendwas" lokalisieren?
Dazu braucht man weitere Angaben......Uhrzeit und Datum.

 

Eine Rechnung in einer zip-Datei, auch hier bei Avira wird es thematisiert.

@Zerg#8
Ich drücke Dir die Daumen, dass Du etwas herausfindest.
Meine IP ist völlig anders als die vin Dir geposteten IPs.

2Stain

 

So in etwa nach Kiel?

 

Ach, der Nobier wieder... *grr* Hast wohl noch nie "einigermaßen regionalisierte Werbung" beim Surfen eingeblendet bekommen? Das funktioniert oft erschreckend genau, kann aber auch mächtig in die Hose gehen. Im Moment habe ich eine IP, die in München bzw. in Köln vermutet wird. Wat will ich denn bei "die Jeck"? Ich hatte aber auch schon Lörrach, was schon ganz gut ist...


Probierts einfach aus und sagt mir, wie genau euch die einzelnen Datenbanken verortet haben:

http://www.iplocation.net/index.php




Wenn man nun die beiden IPs von oben mal ausprobiert, dann sagt die eine Datenbank zweimal Eschborn an. Wenn das stimmt, dann sollte jemand im Raum Frankfurt mit wenigen Hops bei einem traceroute den entsprechenden Server erreichen.

 

Nee, Kobi. WHV.

Aber der Verdacht begründete sich erstmal nur auf eine e-mail Adresse bei web.de im Posteingang und das mir bekannte Surfverhalten des Besitzers. Ihm wäre ein Trojaner zuzutrauen...



EDIT: Ich habe mal die vor gut zwei Jahren benutzte IP des Bekannten in WHV getraced. Wie man an diesem Beispiel sehr gut sehen kann, geht der Weg der Daten vom o2-Netz nach München, Berlin, Bremen und dann nach Oldenburg. WHV ist nur einen Steinwurf entfernt. Jetzt haste was gelernt, Nobier....


Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\zwerg>tracert 77.188.252.190

Routenverfolgung zu odnb-4dbcfcbe.pool.mediaWays.net [77.188.252.190] über maximal 30 Abschnitte:

1 * * * Zeitüberschreitung der Anforderung.
2 589 ms 339 ms 359 ms 82.113.122.198
3 287 ms 490 ms 401 ms IARMUN1-Gi0-2-199.net.de.o2.com [82.113.122.2]
4 880 ms 569 ms 369 ms xmwc-mnch-de01-gigaet-5-1-510.nw.mediaways.net [195.71.164.209]
5 288 ms 470 ms 471 ms rmwc-mnch-de01-chan-3-0.nw.mediaways.net [213.20.172.61]
6 290 ms 530 ms 359 ms rmwc-brln-de01-so-4-0-0-0.nw.mediaways.net [195.71.212.185]
7 278 ms 361 ms 427 ms rmwc-brln-de02-chan-1-0.nw.mediaways.net [62.53.164.34]
8 356 ms 369 ms 399 ms rmwc-brmn-de02-pos-2-3.nw.mediaways.net [195.71.254.18]
9 328 ms 350 ms 569 ms 62.53.186.246
10 307 ms 339 ms 409 ms rdsl-odnb-de01-chan-2.nw.mediaways.net [195.71.181.158]
11 388 ms 361 ms 428 ms odnb-4dbcfcbe.pool.mediaWays.net [77.188.252.190]

Ablaufverfolgung beendet.

 

Eschborn ist der Sitz des Providers.

Ich lande per per IP-Location ein mal in Aulendorf und ein mal in Ludwigsburg.

 

Stimmt, Eschborn kanns nicht sein, denn Route stimmt nur bis zum 7. Hop. überein. Dann nehmen die Daten zwei getrennte und unterschiedlich kange Wege. Wir haben also mit Sicherheit zwei verschiedene Orte. Kannst ja auch mal tracen.


C:\Dokumente und Einstellungen\zwerg>tracert 84.56.190.183

Routenverfolgung zu dslb-084-056-190-183.pools.arcor-ip.net [84.56.190.183] über maximal 30 Abschnitte:

1 * * * Zeitüberschreitung der Anforderung.
2 307 ms 369 ms 440 ms 82.113.122.198
3 298 ms 479 ms 339 ms IARMUN1-Gi0-2-199.net.de.o2.com [82.113.122.2]
4 278 ms 339 ms 449 ms xmwc-mnch-de01-gigaet-5-1-510.nw.mediaways.net [195.71.164.209]
5 287 ms 349 ms 369 ms 145.253.33.173
6 338 ms 459 ms 399 ms 92.79.213.121
7 366 ms 509 ms 479 ms 188.111.129.250

8 288 ms 319 ms 409 ms 145.254.14.122
9 328 ms 349 ms 371 ms dslb-084-056-190-183.pools.arcor-ip.net [84.56.190.183]

Ablaufverfolgung beendet.

C:\Dokumente und Einstellungen\zwerg>tracert 188.105.117.189

Routenverfolgung zu dslb-188-105-117-189.pools.arcor-ip.net [188.105.117.189] über maximal 30 Abschnitte:

1 * * * Zeitüberschreitung der Anforderung.
2 301 ms 478 ms * 82.113.122.198
3 639 ms 439 ms 439 ms IARMUN1-Gi0-2-199.net.de.o2.com [82.113.122.2]
4 259 ms 468 ms 349 ms xmwc-mnch-de01-gigaet-5-1-510.nw.mediaways.net [195.71.164.209]
5 338 ms 359 ms 369 ms 145.253.33.173
6 297 ms 399 ms 389 ms 92.79.213.121
7 318 ms 339 ms 409 ms 188.111.129.250

8 328 ms 339 ms 399 ms 92.79.200.2
9 405 ms 432 ms 389 ms 88.79.14.110
10 328 ms 499 ms 399 ms 188.111.166.162
11 368 ms 342 ms 407 ms dslb-188-105-117-189.pools.arcor-ip.net [188.105.117.189]

Ablaufverfolgung beendet.


EDIT: Man sieht übrigens sehr schön, daß ab Hop 5 der Backbone von mediaways.net in München verlassen wird. Das würde man nicht tun, wenn das Ziel in der Nähe von Berlin wäre. Siehe die Route noch Oldenburg....

 

Die ersten Hops kannst Du allerdings streichen. Sie sagen im Prinzip nur Deine eigene Routung zum Target aus.
Das bedeutet also:
Du wirst über München zum Ziel geroutet, ich über Frankfurt. Wäre ich im Ruhrgebiet würde ich wohl (mit einem anderen Provider) über Duisburg, Düsseldorf geroutet.

Sieht man sich beispielsweise die Route von einem Server von Hetzner aus an, kann sie folgendermaßen aussehen:

 

Das ist doch klar, Kobi. Im Prinzip kann man die ersten Hops weglassen. Ich "schleiche" mich von München aus an das Ziel heran, du meinetwegen aus Frankfurt.

Ist das ein Trace zu einer der beiden IPs? Wenn ja, dann verstehe ich nicht, wieso die IP nicht erreicht wird und warum Hop 5 & 6 identisch sind. Schade auch, daß die Namen der Telekom keine Rückschlüsse auf den Weg mehr zulassen. Ich hatte das von früher anders in Erinnerung.


Gibts denn hier keine weiteren Forscher?


Unter Windows : Start / Ausführen klicken, dann ins Eingabefeld

cmd

eingeben. Es öffnet sich ein "DOS-Fenster" mit der Zeile

C:\Dokumente und Einstellungen\Username>

Der Rest ist dann so, wie man oben sehen kann. Wenn man mit der rechten Maustaste auf den oberen Fensterrand klickt, kann man den Text unter "Bearbeiten" markieren und auch in die Zwischenablage kopieren. Ferdisch.

 

Ja richtig, das ist ein Trace zu der zweiten IP, also zu der 188er.
Auch bei der Telekom kann man in den meisten Fällen Rückschlüsse ziehen, sofern einem die Abkürzungen in etwa bekannt sind.

Dass der Trace erfolglos war kann sich damit erklären dass die IP nach 24 Stunden nicht mehr vergeben ist, da alle 24 Stunden ein Zwangs-Disconnect (bei den meisten Anbietern) stattfindet. Anders ist das bei Kabelinternet. Dort hat die IP eine Lease von bis zu einem Monat und es finden i.d.R keine 24-Stunden-Trennungen statt. Dasselbe auch bei Internet per UMTS und LTE. Dabei ist das Target allerdings meist auch nicht exakt auszumachen.

 

Also ich kann die komplette Route verfolgen. Letztendich ist das der Radius-Server (http://de.wikipedia.org/wiki/RADIUS), der eben diese IP verwaltet, über die die Mail verschickt wurde. Und der steht in irgendeiner Stadt und sollte eigentlich erreichbar sein. Und darum bekommt man bei einem DSL-Festanschluß bei der Einwahl ins Internet auch immer nur eine IP aus dem (kleinen) IP-Bereich (aus dem großen IP-Pool des Providers) zugewiesen, den dieser (mein zuständiger) Radius-Server verwaltet.

Wenn man so eine "nette" Liste mit den Standorten und IP-Bereichen von allen Radius-Servern eines Providers hätte, dann kann man auch später ganz grob den Stadtteil bestimmen, von wo die Einwahl stattfand. Zusammen mit Datum und Zeit und den Logfiles dieses Servers, wird dann im Ernstfall ein Kunde mit Name und Anschrift daraus. So funktioniert das bei KiPo etc. Aber so weit wollen wir ja gar nicht gehen.

Da wir so eine Liste nicht besitzen, ist hier, salopp ausgedrückt, der Forenuser gesucht, der bei einem Trace auf die genannten IPs diesen Radius-Server mit möglichst wenigen Hops erreicht. Dann ist er nämlich ziemlich nah dran und die Route geht (hoffentlich) nicht erst über München, Frankfurt etc. Ob das so funktionieren könnte, weiß ich auch nicht.

 

Bei allem Verständnis für Dein Interesse an Aufklärung, aber lies Dir Deinen Satz vielleicht noch mal durch und stell Dir diesen Typ User dabei vor, der schon nach einem Kollegen ruft, wenn er eine Desktopverknüpfung erstellen will, weil das ja schließlich ziemlich kompliziert ist... Was ich damit sagen will: Erhoff Dir lieber nicht zu viel Resonanz.

 

Sooo, dann wollen wir des Zwergs Bemühungen mal ein wenig torpedieren.
Punkt 1: Man sollte nicht ausser Acht lassen, dass auch Mail-Anbieter, insbesondere Konsorten wie Arcor etc. fleißig im Adresshandel mitmischen. Adressen sind ja heutzutage nicht mehr nur Straße und Hausnummer, sondern eben auch Mailadressen. Auf diesem Wege läßt sich sehr einfach ein Name einer Mailadresse zuordnen.
Punkt 2: Unwahrscheinlich aber möglich: Der Trojaner kann dir durchaus auch ohne Kenntnis des eigentlichen Absenders zugeflogen sein. Dazu muß deine und seine Mailadresse nebst Namen nur in einem Postfach auf irgendeinem x-beliebigen infizierten PC vorhanden sein.
und 3. (und am wichtigsten!): Eine Mail, in der eine Rechnung in zip-Form angehängt ist, die zudem auch noch verseucht ist? Sowas würde ich nicht mal im Traum öffnen bzw. würde mir das mein Mailanbieter von vornherein in den Spam-Ordner verschieben. Also denk als erstes mal über einen alternativen Mailadressen-Anbieter nach, bevor du hier auf "Hexenjagd" gehst.

 

Großartig "aufklären" kann ich nichts. Ich kann aber anhand der Gesamtheit aller Mails, die seit 2009 über diesen Account empfangen oder gesendet wurden, feststellen, wie "verbreitet" diese eMail-Adresse ist. Viel wichtiger ist aber die Antwort auf die Frage, wie mein Klarname in diese "Mahnschreiben mit Trojaner" gelangen konnte! Das geht nämlich nur, wenn bestimmte Bedingungen zutreffen! Bei der Analyse der Daten bin ich zu dem Schluß gekommen, daß eine hohe Wahrscheinlichkeit besteht, daß sich irgendein User aus dem Forum vor ein paar Tagen einen Trojaner eingefangen hat.

Für die (bisher) "vertrauliche Behandlung" meiner eMail-Adresse spricht auch, daß es mich erst jetzt - viele Monate später - "getroffen" hat! Das ist für mich ein starkes Indiz dafür, daß der von chapri angesprochene Punkt, daß in Asien "ganze Horden damit beschäftigt sind, Adressen abzutippen" hier nicht zutrifft. Die hätten mich längst "bespammt!

Ausschließen kann ich auch Firmen wie Magix oder Pinnacle, die mir seit Jahren regelmäßg "schreiben". Das dürfen sie ja auch. Die haben meine Daten aber auch nicht weitergegeben, denn auf meinen Account schlug bisher kein Spam von anderen Firmen auf!

Natürlich habe ich auch mal direkt über diesen Account an Radiosender geschrieben, also nicht über das Mailinterface auf der Website des Senders, so wie bei SWR1, sondern an redaktionskonferenz@dradio.de oder studio@bayern3.de. Diese Leute dort halte ich für "vertrauenswürdig".


Ihr merkt, die Luft für Ausreden wird immer dünner und die Wahrscheinlichkeit für eine "Infektion" im "Bekanntenkreis" steigt. Genau darum gibt es diesen Thread.

 

Du tust mir etwas unrecht, Kulti. Ich sags mal so: Ich kann es mir wirklich "erlauben", in unaufgefordert zugesandte "Anhänge" in e-Mails reinzuschauen (Hey - ich programmiere selbst seit vielen Jahren unter Windows - auch sehr "systemnah", wenn es sein muß )

Warum sollte ich auch nicht in einen Anhang reinschauen? Nur weil ich eine fremde Zip-Datei entpacke, habe ich ja noch lange keinen Trojaner auf dem Rechner installiert. Und auch beim Anschauen des Listenings der gerade entpackten Dateien in einem Order mittels "Windows-Explorer" passiert nichts. (Hier schlägt ein AV-Programm eigentlich schon Alarm.) Ich darf halt nur nicht blindwütig auf die Datei mit dem Trojaner (die "Mahnung") (doppel)klicken. Dann ist es zu spät, wenn kein Virenscanner die Programmausführung stoppt.

Wichtig ist doch nur, daß man weiß was man tut. Und das ist - leider - bei vielen Windows-Usern nicht der Fall. Das beginnt schon mit der "Ansicht" im Explorer. Bei mir steht die Ansicht auf "Details", wie man oben im Bildchen erkennen kann. Und bei mir ist auch das Häkchen bei "Bekannte Dateiendungen ausblenden" (oder so ähnlich) nicht gesetzt. Es wird also immer alles angezeigt. Gut so!

Aber natürlich bin auch ich bei solchen Dingen (okay - sagen wir "Experimenten") sehr vorsichtig. Darum habe ich die Dateiendung sicherheitshalber auch gleich umbenannt und damit "entschärft".

Ich kann an dieser Stelle ja auch gleich die Geschichte "Der Zwerg kämpft gegen den GIBE-B-Wurm" (ist gut 10 jahre her) erzählen, denn die begann auch mit dem Versuch, die böse Dateiendung durch Umbenennen zu entschärfen. Dabei bin ich leider "abgerutscht" und habe versehentlich einen "Doppelklick" ausgelöst. Noch während ich das Wort "Scheiße" beginne lauthals in den Raum zu schreien, beginnt auch schon die Festplatte an, wie wild zu "rödeln". Nun, ich wollte das "Ding" ja sowieso näher unter die Lupe nehmen (von "frei laufen lassen" war aber nie die Rede!), und darum liefen im Hintergrund schon die treuen Helfer "Filemon" und "Regmon" mit. Beide Tools haben alle Zugriffe auf das Dateisystem und die Registry aufgezeichnet. Schon allein das Vorgehen des Schadprogramms während der Infektion eines Rechners ist höchst interessant zu verfolgen! Nachdem der "Spuk auf der Festplatte" nach gut 10 Sekunden beendet war und ich mich vom ersten Schock erholt hatte, konnte ich das Ding anhand der Aufzeichnungen relativ schnell und rückstandslos von der Festplatte löschen und aus der Registry verbannen. Zugegeben, das ist nix für schwache Nerven...


Weiterhin "wünsche ich nicht", daß mein eMail-Provider irgendwelche ankommenden Mails (das kann man ja einstellen) bei Verdacht auf Viren im Anhang automatisch in einen Spamordner verschiebt, denn das kann böse enden. Das kann im Zweifelsfall bedeuten, daß du eine wichtige Mail mit einer MS-Word-Datei (*doc) im Anhang nicht sofort erhälst, weil die Mail versehentlich ("false positive" ist das Stichwort) im Spamorder gelandet ist. Wer ist dafür verantwortlich?

Ich brauche keinen anderen Anbieter und gehe auch nicht auf Hexenjagd. Ich versuche hier nur immer wieder auf die "Gefahrenstellen" hinzuweisen. Von mir wirst du jedenfalls (ohne vorherige Ankündigung!) nie eine Mail erhalten, die ein Dokument mit "aktiven" und potentieniell gefährlichen Inhalten im Anhang trägt. Nimm einfach mal den "Wie lange speichert ein vollgeladener Akku Strom"- Thread als Beispiel. Ich entschuldige mich ja regelrecht dafür, daß diese Tabelle mit den Meßwerten ein Makro enthält und erkläre auch, warum ich ausnahmsweise mal ein eigenes Makro geschrieben habe.

Hallo! Aufwachen! Andere Leute "beballern" dich möglicherweise jeden Tag mit MS-Word-Dokumenten, Powerpoint-Präsentationen voller "VBS-Kacke", ohne dich vorher über die Notwendigkeit für den Einsatz dieser Mittel zu informieren! Hauptsache es ist bunt und knallt!

 

Du musst ja Zeit haben, Zwerg. Lösch die Mail und verschwende nicht kostbare Lebenszeit damit, IP-Adressen auf dreißig Kilometer genau zu lokalisieren.